Microsoft zverejnil novú bezpečnostnú zraniteľnosť postihujúcu lokálne verzie Exchange Servera, ktorá je už aktívne zneužívaná.
Zraniteľnosť sledovaná ako CVE-2026-42897 (skóre CVSS: 8,1) bola opísaná ako spoofingová chyba vyplývajúca z cross-site scripting (XSS) nedostatku. Za jej objavenie a nahlásenie bol ocenený anonymný výskumník.
„Nesprávna neutralizácia vstupu pri generovaní webovej stránky (‚cross-site scripting‘) v Microsoft Exchange Serveri umožňuje neoprávnenému útočníkovi vykonávať spoofing cez sieť,“ uviedol technologický gigant vo štvrtkovom bezpečnostnom bulletine.
Microsoft, ktorý zraniteľnosť označil hodnotením „Zneužívanie zistené“, uviedol, že útočník ju môže zneužiť zaslaním podvrhnutého e-mailu používateľovi. Po otvorení v Outlook Web Access a za splnenia určitých ďalších podmienok môže dôjsť k spusteniu ľubovoľného JavaScriptu v kontexte webového prehliadača.
Spoločnosť taktiež oznámila, že poskytuje dočasnú ochranu prostredníctvom služby Exchange Emergency Mitigation Service (EEMS), kým pripravuje trvalú opravu. EEMS zabezpečí mitigáciu automaticky cez konfiguráciu prepisovania URL a je predvolene zapnutá. Ak nie je aktívna, používateľom sa odporúča túto službu Windows zapnúť.
Podľa Microsoftu Exchange Online touto zraniteľnosťou nie je postihnutý. Ovplyvnené sú nasledujúce lokálne verzie Exchange Servera:
- Exchange Server 2016 (akákoľvek úroveň aktualizácie)
- Exchange Server 2019 (akákoľvek úroveň aktualizácie)
- Exchange Server Subscription Edition (SE) (akákoľvek úroveň aktualizácie)
Ak použitie EEMS nie je možné kvôli obmedzeniam v izolovaných sieťach (air-gap), Microsoft odporúča nasledujúci postup:
- Stiahnuť najnovšiu verziu nástroja Exchange on-premises Mitigation Tool (EOMT) z aka[.]ms/UnifiedEOMT.
- Aplikovať mitigáciu na jednotlivé servery alebo na všetky naraz spustením skriptu cez Exchange Management Shell (EMS) so zvýšenými oprávneniami:
- Jednotlivý server:
.\EOMT.ps1 -CVE "CVE-2026-42897" - Všetky servery:
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
- Jednotlivý server:
Microsoft je taktiež informovaný o známom probléme, keď mitigácia zobrazuje hlásenie „Mitigation invalid for this exchange version.“ v poli Popis. „Tento problém je kozmetický a mitigácia sa ÚSPEŠNE aplikuje, ak je stav zobrazený ako ‚Applied‘,“ uviedol tím Exchange. „Skúmame, ako to vyriešiť.“
V súčasnosti nie sú k dispozícii žiadne podrobnosti o tom, ako je zraniteľnosť zneužívaná, kto stojí za útokmi ani aký je ich rozsah. Taktiež nie je jasné, kto sú ciele a či boli niektoré z útokov úspešné. Medzitým sa odporúča aplikovať mitigačné opatrenia odporúčané Microsoftom.
Viac informácii:
http://thehackernews.com/2026/05/on-prem-microsoft-exchange-server-cve.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897